Que vous soyez une personne physique ou morale, si vous réalisez des prestations de formation professionnelle, vous êtes selon le Ministère du Travail, un organisme de formation. À ce titre, vous êtes non seulement soumis à des contraintes propres à votre activité (déclaration, BPF, etc), mais également au Règlement Général sur la Protection des Données.
Pour rappel, le RGPD est entré en vigueur en mai 2018. Le Règlement Général sur la Protection des Données (RGPD) est le texte européen qui pose le cadre légal en matière de protection des données personnelles. Il sert avant tout à protéger les personnes dont les données sont collectées. Grâce au RGPD, ces personnes physiques pourront accéder à leurs données collectées, décider de les rectifier ou de les effacer, et solliciter leur portabilité. Pour cela, le RGPD impose des obligations aux responsables du traitement de ces données. Celui-ci doit garantir la protection et la sécurité des données personnelles qu'il collecte et doit pouvoir le démontrer.
En effet, la conformité avec le RGPD est une préoccupation majeure pour toutes les organisations traitant des données à caractère personnel en Europe. Les organismes de formation, y compris certifiés Qualiopi, ne font pas exception à cette règle.
Dans ce contexte, il convient de rappeler :
- Pourquoi les organismes de formation, y compris certifiés Qualiopi, sont concernés par le RGPD,
- Et comment construire votre plan conformité RGPD.
1 - Organisme de formation et RGPD : pourquoi vous êtes concernés
Vous collectez des données personnelles
Le RGPD s’applique à toutes les entreprises, peu importe leur taille ou leur secteur d’activité : micro-entreprise, TPE, PME, grands comptes etc. Ce qui est déterminant pour l’application de cette règlementation est le fait de savoir si, dans le cadre de vos activités, vous traitez des données personnelles.
Pour rappel, la définition d’une donnée personnelle est volontairement très large (article 4 RGPD). Les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations).
Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc. ⚠️ Même dans une relation B2B, il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise.
Catégorie de données personnelles que votre organisme collecte
Concrètement, voici un exemple de données personnelles que votre organisme de formation serait amené à collecter et utiliser :
- Marketing digital. Vous vous adonnez à du retargeting en utilisant des cookies publicitaires ? Ici, vous analysez bel et bien le comportement individuel de vos visiteurs, vous obligeant ainsi à recueillir leur consentement et à rédiger une politique de confidentialité accessible depuis votre site internet ;
- Accueil des stagiaires. Que votre organisme de formation prodigue des cours en ligne ou en présentiel, vous possédez l’identité, les coordonnées de vos élèves et la formation qu’ils suivent. Ce sont donc des données personnelles.
- Administratif. Les données récoltées concernent souvent la situation professionnelle, les objectifs poursuivis, les diplômes, l’âge de l’élève, etc. Autant d’éléments qui touchent à la vie personnelle du client.
- Ressources humaines. Vos salariés sont aussi concernés : l’identification de l’employé, l’évaluation des compétences du candidat au moment du recrutement, le suivi de carrière, la gestion des déclarations d'accident du travail et de maladie professionnelle, etc. Il en va de même pour vos éventuels formateurs externes également. Les données les concernant (identité…) sont également soumises au RGPD.
Vous l’aurez compris, votre organisme collecte nécessairement des données personnelles, et parfois en très grande quantité. Dès lors, le RGPD s’applique à vos activité.
Pourquoi la conformité au RGPD est-elle importante pour les organismes de formation certifiés Qualiopi ?
Pour rappel, Qualiopi, est une certification que les prestataires de formation doivent obtenir pour prouver qu'ils répondent à un certain nombre de critères de qualité. C'est un label national qui garantit la qualité des processus mis en œuvre par les prestataires d'actions concourant au développement des compétences. Elle donne également accès à des mécanismes de financement public pour les apprenants.
Or, la certification de votre organisme ne préjuge en rien de votre conformité RGPD, bien au contraire. Votre organisme aura même tendance à traiter un plus grand nombre de données personnelles concernant les personnes formées (identité, coordonnées, contenu des formations, interrogations des participants, parcours professionnelles et personnelles etc.).
De plus, vous êtes un acteur identifié par les autorités de régulation dès lors que votre organisme est certifié par l’Etat. En outre, la certification Qualiopi implique un engagement envers la qualité et la transparence, ce qui inclut le respect des lois et règlements en matière de protection des données. Par conséquent, la conformité au RGPD est non seulement une obligation légale, mais elle est aussi essentielle pour maintenir la confiance et la réputation des organismes de formation.
2 - RGPD : les étapes pour mettre en conformité votre organisme de formation
Etape n°1 : cartographiez vos données personnelles
Cette première étape peut paraitre triviale mais elle est déterminante. Quelles sont les données personnelles que vous collectez, traitez, et utilisez dans le cadre votre activité professionnelle ?
Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle.
Faire le point sur les données personnelles traitées, permet d’opérer une cartographie complète et surtout savoir si vous collectez des données sensibles (article 9 RGPD). Il s’agit des données suivantes :
- Informations relatives à l’origine raciale ou ethnique,
- Informations relatives aux opinions politiques,
- Informations relatives aux convictions religieuses ou philosophiques,
- Informations relatives à l’appartenance syndicale,
- Informations relatives à la vie sexuelle ou orientation sexuelle,
- Données génétiques,
- Données biométriques (permettant l’identification d’une personne unique),
- Donnée de santé.
C’est important car, par principe, il est interdit de collecter des données sensibles, sauf dans les cas suivants :
- La personne concernée a librement donné son consentement,
- Le traitement est nécessaire à l’exécution d’un contrat,
- Les données sont rendues publiques par la personne concernée,
- Le traitement est nécessaire à l’exercice ou la défense d’un droit en justice.
Pour cartographier vos données personnelles, deux approches :
- Option 1 : vous partez de vos outils, logiciel, hébergement etc (CRM, emailing, email, outil de webinar, de contact client, de formulaire etc.). Exemple de liste d’outil que votre organisme pourraient utiliser et qui collecte des données personnelles :
- Trello, Airtable → données personnelles concernant vos employés et l’organisation du travail en interne.
- CRM : Hubspot, Salesforce, Customer.io → données personnelles concernant vos propects et vos clients.
- Payfit, Alan, Windows 360, Google Sheet → données personnelles concernant vos employés et vos activités commerciales.
- Indeed, LinkedIn, WelcomeToTheJungle → données personnelles concernant vos candidats et employés concernant le recrutement.
- Bases de données internes (MySQL, MongoDB, AWS), Teams, Google Meet, Zoom → données personnelles liés à vos clients et contenu de vos échanges.
- Pennylane → données personnelles liés à la facturation de vos prestataires, fournisseurs, clients etc.
- Option 2 : vous partez des vos activités :
- Gestion des modules de formations → les données personnelles sont relatives à toutes données qui peuvent être reliées à la personne formée : identité, coordonnées, contenu de vos échanges, parcours professionnel, parcours personnel, contenu photo, vidéo ou audio etc.
- Communication → identité, coordonnées, échanges sur les réseaux sociaux.
- Marketing → identité, coordonnées, échanges sur les réseaux sociaux.
- Gestion des partenariats → identité des personnes de contact B2B, email professionnel, échanges.
- Veille contenu de formation → a priori peu de chance de contenir de la données personnelles
- Service qualité → identité, coordonnées, contenu des échanges.
- RH → identité des salariés, données financières, numéro de sécurité social, contenu du contrat de travail, du CV et entretiens annuels.
- Commerciale → identité des prospects, coordonnées, contenu des échanges.
- Gestion administrative, comptabilité et budget → données de facturation des prestataires, fournisseurs et clients avec l’identité des personnes physiques et leurs adresses emails professionnels.
- Gestion des services informatique → données personnelles liés à la connexion des employés, la gestion de leurs accès et leurs identité.
Etape n°2 : construisez votre registre de traitement
Le registre de traitement est votre boussole dans votre démarche de mise en conformité au RGPD. Il vous oblige à recenser les données personnelles que vous collectez et la manière dont vous les utilisez. Il est également le document de référence permettant de démontrer votre conformité auprès des autorités de contrôles mais également auprès de vos clients et partenaires. Concrètement, le registre de traitement est une déclaration de la manière dont vous utilisez les données personnelles. Cette déclaration est divisée par traitements, donc par groupe de données utilisées pour un but précis.
Il convient de déclarer plusieurs éléments pour chaque utilisation d’un groupe de données personnelles :
- Les coordonnées des personnes associées aux traitements. Votre registre de traitement doit permettre d’identifier les différents responsables en matière de protection de données personnelles. Il s’agit des personnes suivantes :
- le responsable de traitement, c’est à dire votre entreprise et son représentant légal),
- vos sous-traitants, c’est à dire les entreprises par lesquelles vous passez pour votre activité : prestataires de service, logiciel SaaS, hébergement etc.
- votre délégué à la protection des données personnelles si vous en avez un.
- Les catégories de données personnelles collectées. Appuyez vous sur la cartographie de vos données.
- Les catégories de personnes concernées. Il existe plusieurs catégories de personnes qui peuvent être concernées par le traitement : clients, prospects, employés, anciens employés, prestataires (fournisseurs) etc.
- La base légale. Il s’agit du fondement juridique qui vous autorise à collecter des informations sur une personne (article 6 RGPD). Il existe 6 hypothèses dans lesquelles le RGPD vous permet de collecter et traiter des données personnelles : le contrat, le consentement, la loi, l’intérêt légitime, l’intérêt public et l’intérêt vitale. Ces deux dernières hypothèses ne concernant que les services publics.
- La finalité. Il s’agit de l’objectif, la raison pour laquelle vous collectez des données personnelles. Cet élément est très important dans la mesure où vous serez ensuite limité par la finalité que vous déterminez (article 5 RGPD).Par exemple, vous pouvez indiquer que vous traitez un groupe d’informations contenues dans votre CRM en vue de la conclusion de futurs contrats commerciaux. Ainsi, vous ne pourrez plus utiliser le contact de vos prospects pour autre chose, comme par exemple recruter une de ces personnes. Votre utilisation des données doit être cohérente avec la finalité indiquée.
- Les personne qui ont accès aux données (à minima les services qui y ont accès).
- Et la durée de conservation des données. En application des dispositions du RGPD, aucune donnée personnelle ne peut être conservée indéfiniment. Les responsables de traitements ont la charge de déterminer une durée de conservations des données personnelles ou, a minima, un moyen de déterminer une telle durée. Par exemple, vous pouvez indiquer dans votre registre que vous conservez les données de contacts des clients pour l’envoi de newletters durant toute la durée du traitement, c’est-à-dire jusqu’à ce qu’ils forment une demande de désabonnement. La référence à l’évènement “désabonnement” permet de déterminer la durée de conservation.
Pour vous aidez dans la construction de votre registre, aidez-vous d’un logiciel RGPD comme Leto 😉 !
Etape n°3 : Exercice des droits et transparence
L’un des principaux droit accordés aux personnes est celui d’être informés de manière transparente sur l’utilisation qui est faite de leurs données personnelles. Ce droit se manifeste par l’obligation pour chaque organisme de faire preuve de transparence à travers une politique de confidentialité qui permettent à chaque individu de connaître exactement la manière dont sont traitées ses données personnelles.
Avant de pouvoir communiquer sur les éléments essentiels de vos traitements de données personnelles, il convient d’avoir une idée des traitements que vous opérez. C’est pour cela qu’il s’agit de l’étape n°3 !
Concernant le contenu exacte attendu dans une politique de confidentialité, il faut se référer à l’article 13 RGPD. Sinon, nous avons rédiger un article complet sur le sujet ! En substance, il s’agit :
- D’informer les personnes sur ce que votre organisme fait de leurs données personnelles.
- Leur permettre d’exercer leurs droits.
Les individus doivent rester maîtres de leurs données. À vous de mettre en place en interne, une organisation donnant la possibilité à chaque personne d’exercer leurs droits :
- le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
- le droit de rectification permet la modification et la correction des données personnelles ;
- le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
- le droit à l’effacement permet d’obtenir l’effacement de ses données ;
- le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
- le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
- le droit à l’intervention humaine face à un profilage.
Etape n°4 : sécurité des données
La sécurité des données est une priorité majeure pour le RGPD. Les organismes de formation doivent adopter des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites (article 32 RGPD).
Cela peut inclure des mesures techniques telles que le chiffrement des données, l'accès restreint aux informations sensibles et la mise en œuvre de protocoles de sécurité solides.
En effet, l’idée est d’empêcher toute violation de données personnelles. Pour rappel, une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle (par exemple : piratage) ou non, la destruction, la perte, la divulgation ou l’accès non autorisé.
Par exemple, au titre des mesures techniques, il existe :
- La pseudonymisation et le chiffrement des données à caractère personnel. C’est l’action par laquelle un responsable de traitement relie des données personnelles non plus à l’identité de la personne concernée mais un pseudo ne permettant pas de l’identifier (article 4 RGPD). ⚠️ À la différence de l’anonymisation, la pseudonymisation permet toujours de retrouver la personne à qui appartiennent ces données par le recoupement d’informations supplémentaires.
- Le chiffrement des données est un dispositif empêchant la lecture des données par des tiers sauf à disposer de moyens techniques extrêmement conséquents.
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.
Il s’agit de mesures protégeant les données de toute destruction ou altération en cas de dangers physiques tels que des incendies ou inondations.
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Au titre des mesures organisationnelles, sont liées au facteur humain. Ces mesures ont pour vocation à assurer que vos employés, prestataires ou partenaires utilisent conformément au RGPD les données personnelles dont vous avez la charge. Ainsi, la sensibilisation des collaborateurs est la clé ! Pour la sensibilisation de vos collaborateurs, nous avons rédigé un livre blanc entier !
Comment le logiciel RGPD Leto peut aider votre organisme de formation à respecter le RGPD
1- Cartographie automatisée des données personnelles présentes dans toutes vos applications et un mapping complet de votre conformité ;
2- Registre de traitement intelligent avec des informations pré-remplies ****ou suggérées en fonction des sources de données et des typologies de données (durée de conservation, transfert hors UE...) ;
3- Exercice des droits grâce à un espace personnalisé où vos utilisateurs peuvent faire leur demande d'exercice de droits avec en prime, le suivi de l’avancement du traitement ;
4- Sensibilisation de vos collaborateurs aux obligations RGPD grâce à de la formation adaptée ;
5- Onboarding réactif : nous sommes à vos côtés quelle que soit votre question !